某移动公司萨班斯-奥克斯利法案遵循项目.ppt

审计  税务  咨询,GLOBAL SERVICE,ADVISORY,中国移动（香港）有限公司 《萨班斯－奥克斯利法案》第404条款遵循项目,毕马威华振会计师事务所风险咨询服务部,主要内容,2,项目背景及内部控制基本概念 项目具体工作方法介绍,,,3,美国《萨班斯－奥克斯利法案》的背景,安然、世界通讯等公司的一系列丑闻使投资者对上市公司信息披露的真实性产生怀疑； 公司丑闻均牵涉上市公司管理层的错误行为，使投资者对上市公司治理制度的有效性产生怀疑； 中介机构缺乏处理利益冲突的有效机制，使投资者对中介机构的独立性产生怀疑； 美国证监会未能及时发现错误披露和市场欺诈行为，使投资者对监管机构监督市场运作的能力产生怀疑《萨班斯-奥克斯利法案》颁布之前美国资本市场面临信心危机：,4,,,与财务报告相关的重要法案、法规一览表,,5,,,管理层声明 (302条款),,管理层关于内部控制的报告 (404条款),重点领域,关键条款,审计委员会的标准,禁止向董事和官员贷款,,,加强对内部交易的报告,,向财务官员颁布行为准则,,上市公司会计监管委员会 (PCAOB),,对故意发表不实声明的刑事处罚 (906条款),,审计委员会事先批准所有审计师提供的服务,禁止审计师提供某些服务,5年强制轮换审计主管合伙人,,,,保护举报人,,第302条款和第404条款强调通过内部控制加强公司治理。

第906条款强调刑事处罚管理当局报告,董事会治理,管理层和董事会行为,强制执行与惩罚,审计师的独立性,,,,,,,,,《萨班斯－奥克斯利法案》的内容,,《萨班斯-奥克斯利法案》,另外，第404条还要求外部审计师对于与财务报告相关的内部控制和管理层对内部控制的评价进行审计，并出具审计意见,6,《萨班斯－奥克斯利法案》第404条,第 404 条  管理层对内部控制的评价,管理层需为公司建立和维持足够的与财务报告相关的内部控制 管理层还需每年报告： 管理层建立和维持足够的与财务报告相关的内部控制的责任 评估公司与财务报告相关的内部控制的有效性,,7,《萨班斯  奥克斯利法案》第 404 条的文件内容,管理层为公司建立和维持足够的与财务报告相关的内部控制的责任陈述 管理层为评估公司与财务报告相关的内部控制的有效性而采用的评估架构陈述 管理层就公司最近财政年度与财务报告相关的内部控制的有效性作出的评价 陈述外部审计师已发出对《管理层就公司最近财政年度与财务报告相关的内部控制的有效性作出的评价》的审计意见,《萨班斯－奥克斯利法案》第404条（续）,,,主要交易是如何启动、记录、处理和反映在财务报告中 用以防范或找出与重要账户、交易种类和披露相关的错误或舞弊的内部控制措施 其它重要内控措施所依赖的内部控制，包括一般性控制，例如信息系统控制 非经常性、非系统交易或财务估计的内控措施 财务报表关账和汇总过程中的内控措施 资产保护的控制措施 公司层面的控制措施,8,《萨班斯-奥克斯利法案》第404条款要求进行评价的内部控制包括针对与会计报表中所有重要科目和信息披露相关的所有会计认定所实施的内部控制，包括：,《萨班斯-奥克斯利法案》第404条款要求进行评价的内部控制,涉及主要交易类型的交易启动、授权、处理以及最终在财务报表中的披露过程中各环节的主要内部控制,业 务 系 统,核心业务流程,,网络建造和管理,收入和计费,采购和存货管理,9,计 费 系 统,财 务 核 算 系 统,《萨班斯-奥克斯利法案》第404条款要求进行评价的内部控制,,,财务报告,,,,,,,,,,,,,,,,,,,,交易,10,会计认定,存在或发生（Existence or Occurrence） 完整性（Completeness) 权利和责任（Rights and Obligations ） 价值（Valuation ） 表述和披露（Presentation and Disclosure）,11,,确定需要评价的内部控制 -- 业务流程举例 （收入和计费流程）,《萨班斯-奥克斯利法案》第404条款要求进行评价的内部控制,,12,《萨班斯  奥克斯利法案》第 404 条的生效日,“提前申报人” ：在 2004 年 11 月 15 日或之后结束的首个财政年度 (原为 2004 年 6 月 15 日) 其他 (包括国外私人发行人) ：在 2006 年 7 月 15 日或之后结束的首个财政年度 (原为 2005 年 7 月 15 日) 首次国外申报人：在 2006 年 7 月 15 日或之后结束的首个年度报告 (表格 20-F),《萨班斯－奥克斯利法案》第404条（续）,中国移动适用的是“2006年7月15日或之后结束的首个财政年度”，即2006年12月31日结束的财政年度,13,上市公司会计监管委员会第2号审计准则,《萨班斯-奥克斯利法案》第404条要求管理层和外部审计师都必须对与财务报告相关的内部控制进行评价。

13,《萨班斯-奥克斯利法案》第404条与上市公司会计监管委员会第 2 号审计准则,上市公司会计监管委员会配合第404条要求颁布第2号审计准则，以明确规范公司管理层和外部审计师对内部控制进行评价的范围和要求必须承担与公司财务报告相关的内部控制有效性的责任 采用适当的内控框架 (例如 COSO，国际认可的内部控制框架) ，评价公司与财务报告相关的内部控制系统的有效性 以充分的凭证 (包括档案文件) 支持评价结果 针对公司最近年度财务报告的内部控制有效性提交书面报告,14,上市公司会计监管委员会第2号审计准则（续）,对管理层的要求,,15,,,根据上市公司会计监管委员会第 2 号审计准则的要求，对与财务报告相关的内部控制进行独立审计，并正式出具一份审计师 404 审计报告，当中包括两个评价意见,评价意见 (1) 对管理层评价结论的意见,,,评价意见 (2) 对公司与财务报告相关 内部控制有效性的独立意见,上市公司会计监管委员会第2号审计准则（续）,对外部审计师的要求,16,与公司必要的沟通 以书面向审计委员会报告已发现的所有内部控制显著缺陷和重大漏洞 必须在公布审计报告前进行沟通 通知管理层已发现的所有与财务报告相关的内控缺陷并通知审计委员会已与管理层对内控缺陷作出沟通,《 萨班斯-奥克斯利法案 》第 404 条不仅要求公司财务报表没有重大错报(significant misstatement) ，还要把这种可能性降至最低的水平。

而公司的内部控制无法把财务报表出现错报的可能性减至最低已经足以令审计师出具保留意见或不表示意见16,对外部审计师的要求,上市公司会计监管委员会第2号审计准则（续）,17,COSO (The Committee of Sponsoring Organizations of the Treadway Commission，即美国反对虚假财务报告委员会的发起组织委员会) 把内部控制定义为一种过程，受到企业董事会、管理当局和其它职员的影响，旨在为企业的经营效果和效率、财务报告的可靠性、遵循适当的法规等而提供合理保证 基本概念包括： 内部控制是一种过程； 内部控制的有效运作受人影响； 内部控制只能为企业提供合理保证；及 内部控制的设计旨在达成企业之目标 COSO的网址: http://www.coso.org,内部控制的基本概念,美国反虚假财务报告委员会的发起组织委员会《COSO内部控制框架》,所有五大元素必须同时发挥作用，才能让内部控制有效地运作,,控制活动 确保落实管理层的政策 / 流程 措施包括审批、授权、 确认、建议、业绩考核、资产保全和权限分离,监控 评估内部控制系统 整合及时独立的评估 管理层和监控机构的 工作 内部审计,信息和沟通 定期获取、确定并交流相关的信息 评审内部和外部获取的信息 信息流： 职责指导 管理层的总结 成功的措施,控制环境 管理哲学和经营风格 因素包括正直、道德价值、能力、权威和责任 董事会和审计委员会 人力资源政策和实务 是其它内部控制组成部分的基础,风险评估 风险评估是因应一些决定性的内部控制活动和企业目标而确认和分析相关风险的工作,,,,,18,,,,COSO内部控制框架,返回目录,19,项目具体工作方法介绍,项目总体时间表 省公司在推广记录阶段工作步骤,流程记录阶段工作方法 穿行测试工作,省公司在内部控制设计缺陷改进阶段工作步骤 省公司在测试和评价阶段工作步骤 省公司在持续跟进和评价阶段工作步骤,,,,,,,,20,项目总体时间表,制定评估计划和范围阶段,试点记录阶段,推广记录阶段,内部控制设计缺陷改进阶段,测试和评价阶段,持续跟进和评价阶段,,2005年7月,,2005年8月-12月,,2006年1月-4月,,2006年1月-6月,,2006年5月-9月,2006年9月-12月,,,,外部审计师审计阶段,,,,,,中期审计2006年7月-9月 年终审计2006年12月-2007年1月9月,返回目录,21,,省公司在推广记录阶段工作步骤,项目准备阶段,流程记录阶段,流程记录和改进建议确认阶段,,,约一个月,,约一周,,,,,通知起前十天,接到总部项目启动,22,,确认《子流程记录时间安排表》 确认人员名单 各流程执笔人、穿行测试资料收集人、参与访谈人员与毕马威协助人员共同组成访谈小组，执笔人为访谈小组组长，以小组讨论的形式，参考《中国移动内部控制手册》，结合本省流程现状进行流程现场记录，并提炼控制点、分析差异、归纳缺陷和提出改进建议 穿行测试,省公司在推广记录阶段工作步骤,流程记录步骤具体工作内容,项目准备阶段,流程记录阶段,流程记录和改进建议确认阶段,,,23,,流程参与部门负责人确认流程记录和改进建议 省公司管理层确认流程记录和改进建议,省公司在推广记录阶段工作步骤,流程记录和改进建议确认步骤具体工作内容,项目准备阶段,流程记录阶段,流程记录和改进建议确认阶段,,,24,,省公司在推广记录阶段工作步骤图解,项目准备,,,《中国移动内部控制手册》,,工作小组讨论,与财务报告相关的内控记录框架,《XX省内部控制手册》,,,穿行测试资料,,,确认程序,,,,,流程记录,返回目录,25,流程记录阶段工作方法,记录什么？---财务报告相关内部控制记录的基本框 架和内容 ---确定与财务报告相关的内部控制 如何记录？---以流程描述的方式记录控制活动 ---记录与财务报告相关的内部控制的工作底稿 ---使用流程记录模版 ---提炼主要控制点 谁记录？ ---内部控制记录工作的人员组织架构,,,,,,,,,,,26,内部控制记录的基本框架和内容,按照COSO框架确定的与财务报告相关内控记录包括以下部分：,信息技术整体控制 内部控制框架 资本性支出业务流程 收入和计费业务流程 存货管理流程 营运支出业务流程 货币资金管理流程 固定资产和无形资产管理业务流程 人工成本管理流程 会计和财务报告 筹资业务流程 关联方业务流程 法律法规遵循业务流程,返回,27,确定与财务报告相关的内部控制,COSO对内部控制的定义： 内部控制是由公司董事会、管理层和其他员工实施的，为实现经营的效果性和效率性、财务报告的可靠性以及适用法律、法规的遵循性等目标提供合理保证的一个过程。

经营的效果和效率 财务报告的可靠性（萨班斯法案关注的内部控制） 法律法规的遵循,,,对主要交易是如何启动、记录、处理和反映在财务报告中的控制措施； 与选用恰当的会计政策相关的控制措施； 用以防范错误或舞弊的内部控制措施； 其它重要内控措施所依赖的内部控制，例如信息系统控制措施； 非经常性、非系统交易或财务估计的内控措施； 公司层面的控制措施： 与控制环境相关的控制措施； 财务报表关账和汇总过程中的控制措施28,与财务报告相关的内部控制包括针对与会计报表中所有重要科目和信息披露相关的所有会计认定所实施的内部控制，包括：,确定与财务报告相关的内部控制（续）,29,确定与财务报告相关的内部控制（续）,准备人员,结果记录,独立的第三方 审查完整性/准 确性/存在性 （MR。